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(57) Die vorliegende Erfindung beschreibt ein Ver- 
fahren zum Online-Update sicherlieitskritischer Soft- 
ware in der Eisenbahn-Signaltechnik und dient 
insbesondere dem Einbringen von Produktsoftware in 
Zielrechner von Aniagen. Das erfindungsgema3e Ver- 
fahren basiert darauf, daB jeder Teilnehmer einen 
offentlichen und einen geheimen Schlussel erhalt, von 
den Teilnehmern eine Zertifizierungsinstanz zur 
Beglaubigung der Zugehorigkeit der Schlussel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, jeder 
Teilnehmer sein eigenes Schlusselzertifikat und das 
Zertifikat der Zertifizierungsinstanz erhalt, jeder an der 
Erstellung und Prufung der Produktsoftware beteiligte 
Teilnehmer die Produktsoftware und die bisherigen 
Unterschriften mit seinem geheimen Schlussel unter- 
schreibt und gemeinsam mit seinem eigenen Schlussel- 
zertifikat weiterleitet, die Zertifizierungsinstanz fur jeden 
Anwendungsfall eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verkette- 
ten Unterschriftenliste und der Liste der Schlusselzerti- 
fikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Verfahren zum Online-Update sicherheitskritischer Software in der 
Eisenbalin-Signalteclinik und dient insbesondere dem Einbringen von Produktsoftware in Zielrecliner von Aniagen. 
5 [0002] Neue Eclitzeit-Betriebssysteme bieten weitreicliende Debugging- oder Software-Upgrade-Optionen, wali- 
rend das eigentliclie System lauft (sog. running target), urn eine Inolie Verfugbarkeit zu garantieren (sog. non-stop real- 
time systems). Im Prinzip sind diese Wartungsarbeiten aucin online, z. B. uber das Internet oder ahnliche offene Nez- 
werke moglich, ohne daB ein Techniker vor Ort ist. Dies ist vor allem in hochgradig verteilten Systemen ein enormer 
Vorteil. 

10 [0003] Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherheitskriti- 
sche Anwendungen in der Eisenbahn-Signaltechnik nicht nutzbar, da nicht garantiert werden kann, daB die einge- 
brachte Produkt-Software authentisch ist, d. h. von dem behaupteten Absender stammt und nicht manipuliert wurde 
und die Produkt-Software nach den geltenden Vorschriften gepruft ist. 

[0004] Unter dem Oberbegriff Produktsoftware wird hier sowohl Systemsoftware als auch Anwendersoftware oder 

15 Aniagen-Projektierungsdaten verstanden. 

[0005] Bekannt ist, die Produkt-Software nach Vorliegen (manuell unterschriebener) Prufberichte uber vorab in der 
Fertigung programmierte Speicherbaugruppen von Hand in das sicherheitskritische System einzubringen. Dieser Pro- 
zeB soil mittels der beschriebenen Erfindung digitalisiert werden, d. h. die Produkt-Software wird von den Prufern digital 
signiert und uber ein offenes Netz in das sicherheitskritische System eingebracht. Der Zielrechner pruft die Signaturen 

20 automatisch auf Echtheit und Zulassigkeit. 

[0006] Weiterhin sind aus der EP 0 816 970 A2 ein Verfahren und eine Vorrichtung bekannt, mit welchen die 
Authentizitat von Firmware gepruft werden kann. Es wird gepruft, ob spezifische Signaturen zu Mikrokodierungen pas- 
sen. Nachteilig bei dieser Losung ist, da3 der offentliche Schlussel in der Aniage fest installiert ist und keine Uberpru- 
fung der Prufberechtigungen erfolgt. 

25 [0007] Um die Authentizitat bei Ubertragung von Daten uber offene Netze zu gewahrleisten, ist seit langerem die 
Verwendung von kryptographischen Methoden bekannt. Hierbei ist sowohl eine symmetrische als auch eine asymme- 
trische Verschlusselung moglich. 

[0008] Bei der asymmetrischen Verschlusselung existiert im Gegensatz zur symmetrischen Verschlusselung nicht 
nur ein einzelner Schlussel, der alien Partnern bekannt ist, sondern ein Schlusselpaar. Dieses Schlusselpaar besteht 
30 aus einem sogenannten offentlichen und einem privaten Schlussel, wobei der offentliche Schlussel fur jedermann 
zuganglich sein mu3. 

[0009] Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Online-Update sicherheitskritischer Software 
in der Eisenbahn-Signaltechnik zu schaffen, welches mit einfachen Mittein ein effektives Zusammenwirken mehrerer 
Teilnehmer bei der Erarbeitung und Prufung von Produktsoftware sowie ein sicheres Einbringen dieser Produktsoft- 
35 ware in die Zielrechner auch uber ungesicherte Kommunikationskanale ermoglicht. 

[0010] Diese Aufgabe wird erfindungsgemaB gelost durch die Merkmale im kennzeichnenden Tell des Anspruches 
1 im Zusammenwirken mit den Merkmalen im Oberbegriff. ZweckmaBige Ausgestaltungen der Erfindung sind in den 
Unteranspruchen enthalten. 

[001 1] Ein besonderer Vorteil der Erfindung besteht darin, daB eine sichere Erarbeitung, Ubertragung und Einspei- 
40 sung der Produktsoftware in einen Zielrechner unter Mitwirkung mehrerer Teilnehmer ermoglicht wird, indem jeder Teil- 
nehmer einen offentlichen und einen geheimen Schlussel erhalt, von den Teilnehmern eine Zertifizierungsinstanz zur 
Beglaubigung der Zugehorigkeit der Schlussel zu den Teilnehmern mit einem Zertifikat bestimmt wird, jeder Teilnehmer 
sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, jeder an der Erstellung und Prufung 
der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die bisher geleisteten Unterschriften mit seinem 
45 geheimem Schlussel unterschreibt und gemeinsam mit seinem eigenen Schlusselzertifikat weiterleitet, die Zertifizie- 
rungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und die Produktsoftware zusammen mit 
einer verketteten Unterschriftenliste und der Liste der Schlusselzertifikate der Teilnehmer sowie der Pruferliste in den 
Zielrechner eingebracht und endgepruft wird. 

[0012] Ein weiterer Vorteil der Erfindung besteht darin, daB die Produktsoftware auch uber ungesicherte Kommu- 

50 nikationskanale ubertragen werden kann. 

[0013] GemaB der vorliegenden Erfindung werden asymmetrische Verschlusselungsverfahren verwendet. Jeder 
Teilnehmer x verfugt uber zwei Schlussel, namlich einen offentlichen Schlussel Px und einen geheimen Schlussel Sx- 
Der geheime Schlussel ist durch geeignete organisatorische MaBnahmen (zum Beispiel Passwort, Speicherung auf 
Chipkarte etc.) vor MiBbrauch gesichert. 

55 [0014] Offentliche Schlussel sind in der Regel jedem Teilnehmer zuganglich, auf einen geheimen Schlussel darf 
nur ein Teilnehmer Zugriff haben. Mit seinem geheimen Schlussel kann der Teilnehmer Datensatze digital unterschrei- 
ben (Operation Sigx) oder mit seinem offentlichen Schlussel verschlusselte Datensatze entschlussein (Operation 
Decx). Jeder Teilnehmer, der im Besitz des zugehorigen offentlichen Schlussels ist, kann von x signierte, fur ihn 
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bestimmte Datensatze verifizieren (Operation Verx) oder x verschlusselte Nachrichten senden (Operation Encx). Das 
genaue asymmetrisclne Verfahren ist dabei egal, im Prinzip kann jedes aus dem Stand der Teclnnik bekannte Verfalnren 
verwendet werden, 

[0015] Die Erfindung soil nachstehend anhand von zumindest teilweise in den Figuren dargestellten Ausfuhrungs- 
5 beispielen naher eriautert werden. 
[0016] Eszeigen: 



Fig. 1 



eine schematische Darstellung des Zusammenwirkens von Teilnehmern mit einer Zulassungsbehorde; 



10 Fig. 2 



einen Programmablaufplan fur die Prufung der Produktsoftware 



[0017] Wie in Figur 1 dargestellt, wird unter den Teilnehmern ein besonders vertrauenswurdiger Teilnehmer Z, die 
sogenannte Zertifizierungsinstanz, bestimmt. Als Zertifizierungsinstanz wird im vorliegenden Ausfuhrungsbeispiel eine 
Zulassungsbehorde eingesetzt, in Deutschland fur die Eisenbahn-Signaltechnik z.B. das Eisenbahnbundesamt, oder 

15 eine andere vertrauenswurdige Instanz. Dieser Teilnehmer zertifiziert, d. h. beglaubigt, daB die Schlussel der einzelnen 
Teilnehmer wirklich zu den behaupteten Teilnehmern gehoren. Dazu unterschreibt Z digital fur jeden Teilnehmer x des- 
sen offentlichen Schlussel Px sowie ein Textfeld Tx, das Angaben zur Identitat des Teilnehmers, zur Gultigkeitsdauer 
des Zertifikats etc. enthalt. Das Zertifikat besteht also fur jeden Teilnehmer aus Px, Tx sowie Sigz(Px, Tx). Die Zertifi- 
zierungsinstanz ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertifikat, das aus P^, Jz sowie Sigz(Pz, ~^z) besteht. 

20 [0018] Im weiteren wird nun ein konkreter Anwendungsfall betrachtet. 

[0019] Die Zulassungsbehorde Z erzeugt fur jeden Anwendungsfall eine Pruferliste L, in der vermerkt ist, welche 
Prufer welche Produktsoftware und in welcher Prufer-Zusammensetzung prufen durfen. Diese Liste wird ebenfalls von 
der Zulassungsbehorde signiert und zusammen mit dem Zertifikat Sigz(L) auf gesichertem Weg in den Zielrechner der 
Aniage eingebracht, also entweder zusammen mit der Produktsoftware oder als Projektierungsdatum. Zusatzlich sollte 

25 die Pruferliste auch an die beteiligten Prufer verteilt werden. Alternativ kann sie auch zusammen mit der Produkt-Soft- 
ware ubertragen werden. 

[0020] Jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produkts- 
oftware S und die bisher geleisteten Unterschriften seiner Vorganger in der Prufhierarchie, d.h. der Ersteller E unter- 
schreibt die Produktsoftware S mit SigE(S), und sendet sie mit der Unterschrift und seinem Schlusselzertifikat P^ , T^ 
30 sowie Sigz(PE , T^) an den Prufer P, der die Echtheit der Unterschrift pruft und nach positivem Prufergebnis die Pro- 
duktsoftware S und die letzte Unterschrift SigE(S) mit Sigp(S, SigE(S)) unterschreibt und mit seinem Schlusselzertifikat 
Pp , Tp sowie Sigz(Pp , Tp) sowie dem Schlusselzertifikat von E weiterleitet. Die Echtheit der Unterschriften wird durch 
jeden Prufer nach dem in Figur 2 angegebenen Schema gepruft. 

[0021] Dieses Prinzip kann sich noch einige Male wiederholen wie in Figur 2 dargestellt, je nachdem wieviele Teil- 
35 nehmer, d. h. Gutachter, Tester etc. beteiligt sind. Am Ende liegt die Produktsoftware S zusammen mit einer verketteten 
Unterschriftenliste und der Liste der Schlusselzertifikate der Teilnehmer vor. Dies wird zusammen mit der Pruferliste in 
den Zielrechner ubertragen. 

Beispiel: Prufplan L=(A, B, C, D, ... K) 

40 

[0022] 
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[0023] In jedem sicheren Rechner der Aniage (Zielrechner) muB neben einer Implementation der kryptographi- 
schen Funktionen der offentliche Schlussel der Zulassungsbehorde verfugbar sein. Bel Empfang eines neuen Soft- 
50 warestandes pruft der sichere Rechner die digitalen Unterschriften der Prufer, die zu diesem Softwarestand gehoren, 
sowie bei erfolgreicher Prufung die Berechtigung der Prufer anhand der Pruferliste. 

[0024] Falls die Produktsoftware uber ungesicherte Kommunikationskanale ubertragen werden soil oder verhindert 
werden soil, daB unbefugte Dritte Kenntnis der Produktsoftware eriangen, so muB die Produktsoftware zusatzlich ver- 
schlusselt werden, und zwar jeweils mit dem offentlichen Schlussel des Kommunikationspartners. 

55 

Beispiel: 

[0025] Sendet E an P, so wird statt der Produktsoftware S die verschlusselte Fassung Encp(S) gesendet. P ent- 
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schlusselt diese mit seinem privaten Schlussel und verschlusselt sie mit dem offentlichen Schlussel des nachsten Kom- 
munikationspartners. In diesem Fall ist es auch notwendig, jedem Zielrechner ein Schlusselpaar zuzuweisen, da im 
letzten Schritt mit dem offentlichen Schlussel des Zielrechners zu verschlussein ist. 

[0026] Weiterhin sind organisatorische MaBnahmen notwendig, um sicherzustellen, da3 die geheimen Schlussel 
5 der Prufer bzw. Zertifizierungsinstanz nicht unberechtigt eingesetzt werden konnen (entweder mit PaBwort verschlus- 
selte Speicherung auf PC oder Chipkarte) und da3 Software nicht auf anderem Wege, d. h. unter Umgehung der skiz- 
zierten SicherheitsmaBnahmen auf den Zielrechner gebracht werden kann (Firewall-Funktionalitat). 

Patentanspruche 

10 

1. Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik unter Mitwirkung 
mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digitalisierter Form vorliegender ver- 
schlusselter Datensatze, wobei 

15 - jeder Teilnehmer einen offentlichen und einen geheimen Schlussel erhalt, 

von den Teilnehmern eine Zertifizierungsinstanz zur Beglaubigung der Zugehorigkeit der Schlussel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, 

jeder Teilnehmer sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 
jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die 
20 bisherigen Unterschriften mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 

Schlusselzertifikat weiterleitet, 

die Zertifizierungsinstanz fur jeden Anwendungsfall eine Pruferliste erzeugt und signiert und 

die Produktsoftware zusammen mit einer verketteten Unterschriftenliste und der Liste der Schlusselzertifikate 

der Teilnehmer sowie der Pruferliste in den Zielrechner eingebracht und endgepruft wird. 

25 

2. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die geheimen Schlussel der Teilnehmer zum digitalen Unterschreiben von Datensatzen und bei Ubertragung 
der Produktsoftware uber ungesicherte Kommunikationskanale zum Entschlussein verwendet werden. 

30 

3. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die offentlichen Schlussel der Teilnehmer zum Entschlussein verschlusselter Datensatze oder zum Verifizieren 
signierter Datensatze und bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationskanale zum 
35 Verschlussein mit dem offentlichen Schlussel des nachsten Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB die Zertifizierungsinstanz zur Erstellung der Zertifikate fur jeden Teilnehmer dessen offentlichen Schlussel 
40 sowie ein Textfeld mit Angaben zur Identitat und Gultigkeitsdauer des Zertifikates unterschreibt. 

5. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB in der Pruferliste vermerkt ist, welcher Teilnehmer welche Produktsoftware und in welcher Zusammensetzung 
45 mit anderen Teilnehmern prufen darf. 

6. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB im Zielrechner neben einer Implementation der kryptographischen Funktionen der offentliche Schlussel der 
50 Zertifizierungsinstanz verfugbar ist. 

7. Verfahren nach Anspruch 1 , 
dadurch gekennzeichnet 

daB der Zielrechner bei der Endprufung die digitalen Unterschriften der Teilnehmer sowie die Berechtigung der 
55 Teilnehmer anhand der Pruferliste pruft. 

8. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet 
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da3 bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationswege jedem Zielrechner ein Schlus- 
selpaar zugewiesen wird. 
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